Repérage avancé dans le portail Microsoft Defender

• S’applique à:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

La chasse avancée dans le portail unifié vous permet d’afficher et d’interroger toutes les données de Microsoft Defender XDR. Cela inclut les données de différents services de sécurité Microsoft et De Microsoft Sentinel, qui inclut des données provenant de produits non-Microsoft, dans une plateforme unique. Vous pouvez également accéder à tout le contenu de votre espace de travail Microsoft Sentinel existant et l’utiliser, y compris les requêtes et les fonctions.

L’interrogation à partir d’un portail unique sur différents jeux de données rend la chasse plus efficace et supprime la nécessité de changer de contexte.

Importante

Microsoft Sentinel est disponible dans le cadre de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Microsoft Sentinel dans le portail Defender est désormais pris en charge pour une utilisation en production. Pour plus d’informations, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Comment accéder à

Rôles et des autorisations requis

Pour interroger des données Microsoft Sentinel et Microsoft Defender XDR dans la page de chasse avancée unifiée, vous devez avoir accès à la chasse avancée Microsoft Defender XDR (voir Rôles et autorisations requis) et au moins à Lecteur Microsoft Sentinel (voir Rôles spécifiques à Microsoft Sentinel).

Dans le portail unifié, vous pouvez interroger toutes les données de n’importe quelle charge de travail à laquelle vous pouvez actuellement accéder en fonction des rôles et des autorisations dont vous disposez.

Connecter un espace de travail

Dans Microsoft Defender, vous pouvez connecter des espaces de travail en sélectionnant Connecter un espace de travail dans la bannière supérieure. Ce bouton s’affiche si vous êtes éligible à l’intégration d’un espace de travail Microsoft Sentinel sur le portail Microsoft Defender unifié. Suivez les étapes décrites dans : Intégration d’un espace de travail.

Après avoir connecté votre espace de travail Microsoft Sentinel et les données de chasse avancées Microsoft Defender XDR, vous pouvez commencer à interroger les données Microsoft Sentinel à partir de la page de repérage avancé. Pour obtenir une vue d’ensemble des fonctionnalités de chasse avancées, consultez La chasse proactive aux menaces avec la chasse avancée.

À quoi s’attendre pour les tables Defender XDR diffusées vers Microsoft Sentinel

• Utiliser des tables avec une période de rétention des données plus longue dans les requêtes : la chasse avancée suit la période de rétention maximale des données configurée pour les tables Defender XDR (voir Comprendre les quotas). Si vous diffusez en continu des tables Defender XDR vers Microsoft Sentinel et que vous disposez d’une période de conservation des données supérieure à 30 jours pour ces tables, vous pouvez effectuer une requête sur la période plus longue dans le cas de la chasse avancée.
• Utiliser des opérateurs Kusto que vous avez utilisés dans Microsoft Sentinel : en général, les requêtes de Microsoft Sentinel fonctionnent dans la chasse avancée, y compris les requêtes qui utilisent l’opérateur adx() . Dans certains cas, IntelliSense peut vous avertir que les opérateurs de votre requête ne correspondent pas au schéma. Toutefois, vous pouvez toujours exécuter la requête et elle doit toujours être exécutée avec succès.
• Utilisez la liste déroulante de filtre de temps au lieu de définir l’intervalle de temps dans la requête : si vous filtrez l’ingestion des tables Defender XDR vers Sentinel au lieu de diffuser en continu les tables en l’état, ne filtrez pas l’heure dans la requête, car cela peut générer des résultats incomplets. Si vous définissez l’heure dans la requête, les données filtrées et diffusées en continu à partir de Sentinel sont utilisées, car la période de conservation des données est généralement plus longue. Si vous souhaitez vérifier que vous interrogez toutes les données Defender XDR pendant jusqu’à 30 jours, utilisez plutôt la liste déroulante de filtre de temps fournie dans l’éditeur de requête.
• Afficher SourceSystem et MachineGroup les colonnes pour les données Defender XDR qui ont été diffusées en continu à partir de Microsoft Sentinel : étant donné que les colonnes SourceSystem et MachineGroup sont ajoutées aux tables Defender XDR une fois qu’elles sont diffusées vers Microsoft Sentinel, elles apparaissent également dans les résultats dans la chasse avancée dans Defender. Toutefois, elles restent vides pour les tables Defender XDR qui n’ont pas été diffusées en continu (tables qui suivent la période de conservation des données de 30 jours par défaut).

Remarque

L’utilisation du portail unifié, où vous pouvez interroger des données Microsoft Sentinel après la connexion d’un espace de travail Microsoft Sentinel, ne signifie pas automatiquement que vous pouvez également interroger des données Defender XDR dans Microsoft Sentinel. L’ingestion de données brutes de Defender XDR doit toujours être configurée dans Microsoft Sentinel pour que cela se produise.

Où trouver vos données Microsoft Sentinel

Vous pouvez utiliser des requêtes KQL (Kusto Query Language) de repérage avancées pour rechercher les données Microsoft Defender XDR et Microsoft Sentinel.

Lorsque vous ouvrez la page de repérage avancé pour la première fois après la connexion d’un espace de travail, vous pouvez trouver de nombreuses tables de cet espace de travail organisées par solution après les tables Microsoft Defender XDR sous l’onglet Schéma .

De même, vous pouvez trouver les fonctions de Microsoft Sentinel sous l’onglet Fonctions , et vos requêtes partagées et exemples de requêtes de Microsoft Sentinel se trouvent sous l’onglet Requêtes dans les dossiers marqués Sentinel.

Afficher les informations de schéma

Pour en savoir plus sur une table de schéma, sélectionnez les points de suspension verticaux ( ) à droite de n’importe quel nom de table de schéma sous l’onglet Schéma , puis sélectionnez Afficher le schéma.

Dans le portail unifié, en plus d’afficher les noms et les descriptions des colonnes de schéma, vous pouvez également afficher :

• Exemples de données : sélectionnez Afficher les données d’aperçu, ce qui charge une requête simple comme TableName | take 5
• Type de schéma : si la table prend en charge les fonctionnalités de requête complètes (table avancée) ou non (table des journaux de base)
• Période de conservation des données : durée pendant laquelle les données sont définies pour être conservées
• Balises : disponibles pour les tables de données Sentinel

Utiliser des fonctions

Pour utiliser une fonction de Microsoft Sentinel, accédez à l’onglet Fonctions et faites défiler jusqu’à ce que vous trouviez la fonction souhaitée. Double-cliquez sur le nom de la fonction pour insérer la fonction dans l’éditeur de requête.

Vous pouvez également sélectionner les points de suspension verticaux ( ) à droite de la fonction et sélectionner Insérer pour la requête pour insérer la fonction dans une requête dans l’éditeur de requête.

Les autres options incluent notamment :

• Afficher les détails : ouvre le volet côté fonction contenant ses détails
• Charger le code de la fonction : ouvre un nouvel onglet contenant le code de la fonction

Pour les fonctions modifiables, d’autres options sont disponibles lorsque vous sélectionnez les points de suspension verticaux :

• Modifier les détails : ouvre le volet côté fonction pour vous permettre de modifier les détails de la fonction (à l’exception des noms de dossiers pour les fonctions Sentinel)
• Supprimer : supprime la fonction

Utiliser des requêtes enregistrées

Pour utiliser une requête enregistrée à partir de Microsoft Sentinel, accédez à l’onglet Requêtes et faites défiler jusqu’à ce que vous trouviez la requête souhaitée. Double-cliquez sur le nom de la requête pour charger la requête dans l’éditeur de requête. Pour plus d’options, sélectionnez les points de suspension verticaux ( ) à droite de la requête. À partir de là, vous pouvez effectuer les actions suivantes :

• Exécuter la requête : charge la requête dans l’éditeur de requête et l’exécute automatiquement

• Ouvrir dans l’éditeur de requête : charge la requête dans l’éditeur de requête

• Afficher les détails : ouvre le volet latéral des détails de la requête dans lequel vous pouvez inspecter la requête, exécuter la requête ou ouvrir la requête dans l’éditeur

  

Pour les requêtes modifiables, d’autres options sont disponibles :

• Modifier les détails : ouvre le volet latéral détails de la requête avec la possibilité de modifier les détails tels que la description (le cas échéant) et la requête elle-même. seuls les noms de dossiers (emplacement) des requêtes Microsoft Sentinel ne peuvent pas être modifiés
• Supprimer : supprime la requête
• Renommer : vous permet de modifier le nom de la requête

Créer des règles d’analyse et de détection personnalisées

Pour vous aider à détecter les menaces et les comportements anormaux dans votre environnement, vous pouvez créer des stratégies de détection personnalisées.

Pour les règles d’analyse qui s’appliquent aux données ingérées via l’espace de travail Microsoft Sentinel connecté, sélectionnez Gérer les règles > Créer une règle d’analyse.

L’Assistant Règle d’analyse s’affiche. Renseignez les informations requises, comme décrit dans Assistant Règle d’analyse — Onglet Général.

Vous pouvez également créer des règles de détection personnalisées qui interrogent les données des tables Microsoft Sentinel et Defender XDR. Sélectionnez Gérer les règles > Créer une détection personnalisée. Pour plus d’informations, consultez Créer et gérer des règles de détection personnalisées .

Si vos données Defender XDR sont ingérées dans Microsoft Sentinel, vous avez la possibilité de choisir entre Créer une détection personnalisée et Créer une règle d’analyse.

Explorer les résultats

Les résultats des requêtes exécutées s’affichent sous l’onglet Résultats . Vous pouvez exporter les résultats dans un fichier CSV en sélectionnant Exporter.

Vous pouvez également explorer les résultats en fonction des fonctionnalités suivantes :

• Développez un résultat en sélectionnant la flèche déroulante à gauche de chaque résultat
• Le cas échéant, développez les détails des résultats au format JSON ou tableau en sélectionnant la flèche déroulante à gauche de la ligne de résultat applicable pour plus de lisibilité
• Ouvrez le volet latéral pour afficher les détails d’un enregistrement (en même temps que les lignes développées)

Vous pouvez également cliquer avec le bouton droit sur n’importe quelle valeur de résultat dans une ligne afin de pouvoir l’utiliser pour :

• Ajouter d’autres filtres à la requête existante
• Copier la valeur pour une utilisation plus approfondie
• Mettre à jour la requête pour étendre un champ JSON à une nouvelle colonne

Pour les données Microsoft Defender XDR, vous pouvez effectuer d’autres actions en cochant les cases à gauche de chaque ligne de résultat. Sélectionnez Lier à l’incident pour lier les résultats sélectionnés à un incident (lire Lier les résultats d’une requête à un incident) ou Effectuer des actions pour ouvrir l’Assistant Prendre des actions (lire Agir sur les résultats de requête de repérage avancés).

Problèmes connus

• Le IdentityInfo table de Microsoft Sentinel n’est pas disponible, car la IdentityInfo table reste telle qu’elle est dans Defender XDR. Les fonctionnalités de Microsoft Sentinel, telles que les règles d’analyse qui interrogent cette table, ne sont pas affectées, car elles interrogent directement l’espace de travail Log Analytics.
• La table Microsoft Sentinel SecurityAlert est remplacée par AlertInfo les tables et AlertEvidence , qui contiennent toutes les deux toutes les données sur les alertes. Bien que SecurityAlert ne soit pas disponible dans l’onglet schéma, vous pouvez toujours l’utiliser dans les requêtes à l’aide de l’éditeur de repérage avancé. Cette configuration est effectuée de manière à ne pas interrompre les requêtes existantes de Microsoft Sentinel qui utilisent cette table.
• Le mode de chasse guidé, les liens vers les incidents et les fonctionnalités de prise d’actions sont pris en charge uniquement pour les données Defender XDR.
• Les détections personnalisées présentent les limitations suivantes :
  • Les détections personnalisées ne sont pas disponibles pour les requêtes KQL qui n’incluent pas de données Defender XDR.
  • La fréquence de détection en quasi-temps réel n’est pas disponible pour les détections qui incluent des données Microsoft Sentinel.
  • Les fonctions personnalisées créées et enregistrées dans Microsoft Sentinel ne sont pas prises en charge.
  • La définition d’entités à partir de données Sentinel n’est pas encore prise en charge dans les détections personnalisées.
• Les signets ne sont pas pris en charge dans l’expérience de chasse avancée. Ils sont pris en charge dans la fonctionnalité de chasse de gestion des menaces > De Microsoft Sentinel>.
• Si vous diffusez en continu des tables Defender XDR vers Log Analytics, il peut y avoir une différence entre lesTimestamp colonnes et TimeGenerated . Si les données arrivent dans Log Analytics après 48 heures, elles sont remplacées lors de l’ingestion à now(). Par conséquent, pour obtenir l’heure réelle à laquelle l’événement s’est produit, nous vous recommandons de vous appuyer sur la Timestamp colonne .
• Lorsque vous demandez à Copilot for Security de rechercher des requêtes de repérage avancées, vous constaterez peut-être que toutes les tables Microsoft Sentinel ne sont pas prises en charge actuellement. Toutefois, la prise en charge de ces tables peut être attendue à l’avenir.